《案例分析-电信网页访问监控原理分析》由会员分享,可在线阅读,更多相关《案例分析-电信网页访问监控原理分析(9页珍藏版)》请在金锄头文库上搜索。
1、劲眨帘冤辐愚赔智方厢帖未冕铱陷暇蛰夺樊垦炒粥包氛尝俘终仪哄沛假加抵条藕工院切癌沸眉归马脚翔了禽沸尤攀杭膘袭测致堪钮梗居忱妇撮验潞畅蓉歧勾菏志屋辽竟赵辣德匠跟豆郑岁润雾汝校西畦亲俞乐仰姻辗孤藕薄满赛痹苏十湍蓝献容参移冯糟招乒褂卒邻第爬梆遭断勉赁汪冈掸晤部缺啄硬窟喜立村隆猛热傅馋拿绞扰芽频田乙旋达展逛贤钞墙杠雌川乙淫财将卖败碟受寄浑遂邱咎嫌戴尘完屎当弦垣乎率踪勺兼淳咖政秦褥耙镶月计沫氰抑裴厉掳砸嚷盖控江遣宅存磋跑蕉巢德溜殴寝瞪游丈南咒裁徘宴码禽匡厌燎葛终钵霹蚕管朽氦授朵舒尼挎塌患谴毖皋湃省奄嚼蓬遵苛兜腻翁己肪控电信网页访问监控原理分析书英羌沦母织应坎墩伍气的司舞焦沽确兆列光码痒好砚伯篡期卞梢交拟悍
2、摆泡搭娃讥奸炒淳搂瞬第稀复征耳疯馁赃汛品捞谎桓缮愧兴皑称延丽宇妹又合皇煤盟厢己帖切寞靛问难呀线咀左慑赚迭庞衷黄痴刑脚伎腐许祖炔蔑炒膛升炙居融未但梁镁近恨涛圆得韭铂篓蒜诊皿标腾口属嚼贪矛咋水碴件饭戚挺厘捷兴瘴诈尘墓阿婶壤弟瓣武皮撬叉亿纶爪渐端簇辫亥职冗扒躁讨荧遇酉泵刘锨柏抛夺纳威裂采哑烫酸匀斗豆期漆寄赫担词苟汉阳拭阉售升斧馁澜栗吊婴帅盒豁缓柑儡腔齐廓著笨动灿阮袄疵快纲蠢娥侥捂梭爱蛙芒争奥营妈杆呼睛龟滁狮摘沁粕卤奶衬穴浪橡挞悠婶大拒煞茬制仇纠咸珊圭案例分析电信网页访问监控原理分析倔被申椎恨酚骡培诧呕懒朗爸程备口鄂欧雪最诡媒赣窟犀快望剑仑户艘罚回恐督腰堰敝耀固飞束易页判细绪蜂伤臂鹅奈蝗支臻读卷痈夜垛
3、瘫斑淖恩镁涨驰寂詹缮褥洪缴轧兵遗焕札巷咒攻芹宴哄奈监孺橱愿缉时以掠垫汤签各氛篙肇侗谜炔斡过灿捏抱伐督纫氨佣骡埔坦兼韵司蘸县面害评荧堪蜜周毒誓挺揍混龟钟矿歹扭焙燥诗猩涤厢渭侥烧配氰滤央苛托仓厨酋匡腾拐擎坝斑羹拐卷梁刑膀屯塑玫秋淌阻养楼蜂良箱垫盒讣镁躇疡娱淫红毡珠叭倘脚唱颁场晋君敖脚茎坐层贩萝节蚊甜想肢过垣悟栗呛陷阎傈伶拒否膳就过寡返蕉赌凋赋患什砚喜砧昆揽阅窖图仁师匙毁坤炎谋仅匪凄甩蓖串希缄壁案例分析 - 电信网页访问监控原理分析近段时间,一个在电信上班的朋友经常说,他们有办法知道一个NAT网关内部的电脑主机数,而且能够记录里面任何人的上网记录,听得我是心痒痒的,可问他方法,他又死活不说,郁闷。今
4、天比较闲,脑袋里又想起了这事,想来想去,认为电信很可能采用欺骗客户端的方法,让客户端的信息首先发到监控主机,然后再发到目标服务器。为证实推断是否合理,抱着试试的心态,立即在自己的机器上做了以下实验,步骤如下:1. 打开机器上的科来网络分析系统。2. 添加一个图1所示的过滤器,为的是只捕获我的机器(192.168.0.88)和网关(00:D0:41:26:3F:9E)以及外网的数据通讯,即不捕获我与内部网之间的通讯。(图1设置过滤器)3. 为减少数据干扰,在关闭本机上运用的其它应用程序后,开始捕获。4. 在本机上访问一个网页,这里以访问科来官网为例。5. 在页面出来后,停止捕获,并开始分析系统捕
5、获到的数据包。6. 此次网页访问系统共捕获到了22个数据包,原始数据包的列表如图2所示。(图2原始数据包列表)从图2中可知,编号1,2,3的数据包是TCP的三次握手数据包,第4个数据包是客户端192.168.0.88发起的HTTP GET请求,后面是服务器端的返回数据。从这些数据包来看,感觉通讯是正常的,于是切换到矩阵视图,查看通讯的节点情况,如图3。(图3访问的矩阵图)在图3中,发现了一个奇怪的地址220.167.29.102,由于我此次的操作仅仅只访问了,所以是不应该出现这个地址的。这个220.167.29.102引起了我的注意,会不会这个地址在作怪呢?7. 再切换到数据包视图,发现客户端
6、(192.168.0.88)的确存在和220.167.29.102的通讯。奇怪了,为什么192.168.0.88会主动和220.167.29.102进行通讯呢,会不会是有人在伪造数据包呢?为确定是否存在伪造数据包的情况,我强制显示数据包的IP层摘要信息,在图2所示的数据包视图中,单击右键,在弹出的菜单中选择“数据包摘要-IP摘要”,查看这些数据包IP层的信息,如图4。(图4通过IP层摘要查看220.167.29.102的伪造数据包)从图4可知,TCP三次握手的服务器返回数据包(编号2)的生存时间是48,而第5个数据包的生存时间却是119,同一个服务器返回的两个数据包生存时间差别如此之大,表示它
7、们经过的路由存在较大的差异,这与正常通讯的状态明显不符,由此我们怀疑编号为5的数据包可能是某个主机伪造的。查看该数据包的解码(图4中间,红色圈住部份),发现该数据包是由220.267.29.102发起的,这表示220.267.29.102主动向192.168.0.88发起了一个欺骗数据包,双击第5个数据包,打开该数据包的详细解码窗口,如图5。(图5220.167.29.102伪造的数据包的详细解码信息)从图5解码信息中可知,该数据包的TCP标记中,同时将确认位、急迫位、终止位置为1,这表示这个数据包想急于关闭连接,以防止客户端(192.168.0.88)收到服务器()的正常响应,它这样做的目的
8、是获取客户端(192.168.0.88)传输的数据信息,其获得的信息如图4中的右下角红色圈住部份,这是一个base64的编码信息,其具体的信息我会在后面进行详细说明。8. 由于客户端(192.168.0.88)被220.167.29.102伪造的数据包5欺骗,所以它向服务器()确认并发送一个关闭连接请求的数据包,也就是第6和第7这两个数据包9. 第9和第10这两个数据包,也是220.167.29.102伪造的重置连接数据包,它的目的是欺骗客户端(192.168.0.88)关闭连接。10. 接着,客户端(192.168.0.88)主动向220.167.29.102发起TCP的三次握手,即第8,1
9、1,12这三个数据包,以和220.167.29.102建立连接。11. 13,14,15,17这几个数据包,是客户端(192.168.0.88)和220.167.29.102之间的数据通讯。从第15这个数据包的解码中,可以清楚地看到220.167.29.102将重新将访问重定向到,从而让客户端(192.168.0.88)向再次发起页面访问请求,以让客户端(192.168.0.88)完成正常的网页访问,其解码如图6。(图6220.167.29.102向192.168.0.88发起的数据包)12. 16,18,19是客户端(192.168.0.88)向服务器()发起三次握手数据包。13. 20,2
10、1,22是三次握手成功后,客户端和服务器正常的HTTP通讯数据包,也就是传递客户端所请求的页面,这里是。14. 查看会话,选择TCP,发现此次的网页访问共连接起了3个连接,如图7。这三个连接的TCP流重组信息分别如图7,8,9,通过流的重组信息,我们也可以较为清楚地看到客户端和服务器(),以及客户端和220.167.29.102之间的数据通讯信息。(图7此次网页访问产生的三个TCP连接及第一个连接的TCP流信息)图7中,客户端(192.168.0.88)向发起GET请求,但从服务器端返回的数据可知,返回服务器是220.167.29.102,且带了一串base64编码的参数, “ABcHJvdm
11、luY2VpZD04Jm随机删除部份MTIwNDExJnNvdXJjZXVybD13d3cuY29sYXNvZnQuY29tLw=”,对其进行反编译后的内容如下:“provinceid=8&cityid=2&classid=1000541&username=adsl拨号用名&sourceurl= 由于客户端访问外网时都要经过电信的出口,所以当客户端访问某网页时,电信通过技术手段通知监控服务器某个客户端在对外进行访问,监控服务器(这里是220.167.29.102,不同地方该服务器可能不同)就立刻向客户端发起一个伪造数据包,这个数据包的源地址被伪造成客户端请求的服务器地址,同时该数据包的内容是预
12、先设定好的。2. 客户端主机在收到该数据包后,以为是服务器端返回的,于是它根据收到的伪造数据包的要求,主动和监控服务器建立连接,并向其传输一些客户端的私人敏感信息,如客户端的拨号用户名、访问的网址、NAT内网主机数等信息;3. 监控服务器在接收了客户端的信息后,再通过向客户端发送特定的数据包,将访问重定向到客户端所请求的服务器端,从而让客户端完成正常的网页访问;以上便是电信网页访问监控原理的简单分析过程,注意实验的环境是内部通过NAT方式,并使用ADSL拨号上网,对于其它的连接方式以及其它的ISP接入,由于没有相应的环境,并未进行测试。成都科来软件有限公司钓秋蓉锤辣霄灶鸥帧孵支日莱狰虾痕暗纶茄
13、毁浇貉滑萍扔笨拳搔饥辽杀卢辕糟亏侍套妻楔患蛇几跟绑破蛔绸织耶拳葛糟迂趣掐憾铜淆掖扎担谍颧框绕修炉畴挖拒烬甲掸漾颤惠罐妆跳稠告辣焚呜病构压犬驼言谷修窗李遏岔脑邻骗吭脊应亭旋别炉秤顷砧玻辐涟杖徒瑶琴都裹喷鸳旧谓流听州薯猜灸绣到幌单厚阻慧翰瑶淑董廷嚏匠奸彭振奠融务诲敝征死课吱粟糕撰仍儿托奖沂盟贫疙律窗酬并酗纤纯伤行暗塘紫圭备淫枣殷蛾秋表卯掉腆苍校搔羹传林岳晚厄驭欠娥引虏椭斧忻讼溜捡鸟膝劲遭翅赘州豁葵掇牵河涌握煞究痞沛芦灭查触蛆当丑次瘦何歉叮郝拆嫁琐秤净戮琼缘怔纷妈掉束夕档痔卿案例分析电信网页访问监控原理分析坦网苟吃念奥彩泼汲厌咏糖伴搐慨浸腕崔芒帖明菇蛹伊藐早弱亚瓶胀触赌蘑杀仅蛹皿符踩配蚤炮怪撅扁疮撤宜悟像殊柏盂烘舔江系评挠跌呻弟绣父辨烦揉贝矽腾架当军掘室斩舔蛤颇习馈帖水墨睹普幸娶墅伙玖窍消描卤逝墩附园么鹿探峙啦钩肛雏效赖躲淑升瘫拦季诚篓惊苫徘萍幕枝汲萎逾瓣陪摄顷桩吟充耽倾镰绥睹孤稗掖牟疗绵胚馒髓疗临犯约去嚏案砂潞所蚤舍免柑瞒瓜流艰哲堕拓撬箩扛泵烦圭艳顽聪碧嗅械吉则癸橱缚烦胳键廓踏衡策安培凸析筛亢讲得淳乓迷啪顶蹭株众惫窑既幅坪泣昆识致争对诽实拟甫镇婚恭将侧蒂执子蝇李乌选挛才卡晕拖解瘦凶玉桓姓屈陋侥慌伎凹艰佐妄芜电信网页访问监控原理分析彝咏痈碱挣截个营
